Défense contre les menaces persistantes avancées : stratégies face à une nouvelle forme d attaques agility made possible
Les menaces de sécurité se métamorphosent Les dangers traditionnels auxquels les équipes chargées de la sécurité informatique sont confrontées et qu elles combattent depuis de nombreuses années sont progressivement remplacés par une forme d attaque plus dangereuse et insidieuse encore : la menace persistante avancée (Advanced Persistent Threat). Bien que ces menaces ne constituent encore qu un vecteur de risque émergent, leur impact se fait déjà sentir d une manière substantielle. 1 2 3 Piratage de RSA SecurID Opération Aurora En 2011, une menace persistante avancée a compromis les systèmes contenant les informations relatives aux jetons d authentification à deux facteurs RSA SecurID, y compris les valeurs utilisées par l entreprise pour générer les mots de passe à usage unique.1 Des pirates informatiques ont volé des informations confidentielles de propriété intellectuelle, y compris du code source, de Google, d Adobe et d autres sociétés de premier plan au moyen de techniques hautement sophistiquées et parfaitement orchestrées.2 PCWorld. «RSA SecurID Hack Shows Danger of APTs.» 18 mars 2011. Wired. «Google Hack Attack was Ultra Sophisticated, New Details Show.» 14 janvier 2010. Ponemon Institute. «2011 Cost of Data Breach Study.» 2011 02 L impact financier d une menace persistante avancée ne doit pas être sous-estimé : en moyenne, le coût de la réponse à une menace persistante avancée et de l élimination de ses effets se monte à 5,5 millions de dollars. 3
Définition d une menace persistante avancée Une menace persistante avancée est une attaque à long terme sophistiquée lancée contre une entité particulière. Par définition, il ne s agit pas d une menace «normale» : Avancée : l entité malveillante possède les compétences techniques requises, notamment en codage, pour exploiter les faiblesses de la cible et est capable d identifier et d exploiter des vulnérabilités jusque-là inconnues. Persistante : contrairement aux piratages ponctuels à court terme qui tirent parti des opportunités temporaires, les menaces persistantes avancées se déroulent souvent sur plusieurs années, se servent de multiples vecteurs et cumulent les violations de sécurité au fil du temps pour accéder à un volume de données significatives toujours plus grand. Les personnes à l origine des menaces persistantes avancées sont souvent des entités mandatées par des États et dont les objectifs vont bien au-delà du simple vol, à savoir notamment : Données militaires Sabotage économique Espionnage industriel Extorsion financière Manipulation politique Menace : les personnes, groupes et organisations à l origine des menaces persistantes avancées ont la motivation, la capacité et les ressources nécessaires à leur succès. 03
Principes de fonctionnement d une menace persistante avancée Pratiquement toutes les menaces persistantes avancées sont exécutées suivant quatre phases : Reconnaissance Pénétration initiale Escalade des privilèges Exploitation continue 1 2 3 4 Recherche des faiblesses d une organisation impliquant souvent des requêtes de domaine et l analyse de la vulnérabilité et des ports. Exploitation des expositions identifiées et prise de pied dans le réseau cible à l aide de techniques sophistiquées ou de méthodes d ingénierie sociale, telles que le hameçonnage. À la suite de la pénétration initiale, les pirates informatiques acquièrent des droits supplémentaires et prennent le contrôle d autres systèmes, puis installent une «porte dérobée» qui leur facilite l accès ultérieurement. Une fois le contrôle établi, l assaillant est en mesure d identifier, de compromettre et d exploiter les données confidentielles à son gré. Les troisième et quatrième étapes se déroulant sur plusieurs années, il peut s avérer incroyablement difficile de détecter une menace persistante avancée. 04
La sécurité traditionnelle ne fait pas le poids face à une menace persistante avancée Les menaces ciblées, les méthodes hautement avancées et les moyens dont disposent les criminels motivés signifient que la protection fournie par les mesures standard de sécurité des réseaux et d Internet ne suffit plus. Bien que la sécurisation standard du périmètre et de l infrastructure puisse empêcher ou retarder la pénétration initiale, elle est relativement inefficace une fois que les fraudeurs ont pris pied dans le réseau. C est pourquoi les organisations doivent adopter une stratégie de protection plus proactive et plus complète qui soit capable de détecter les menaces persistantes avancées plus tôt et d empêcher les tentatives d escalade de privilèges ou d exportation de données confidentielles. Pourquoi les règles de sécurité Internet traditionnelles ne s appliquent-elles plus à l heure des menaces persistantes avancées? Les fraudeurs sont des individus patients prêts à attendre que de nouvelles vulnérabilités émergent et capables d associer des techniques apparemment insignifiantes pour monter une attaque préjudiciable de grande envergure. Un ennemi dévoué et mandaté par un État ne se laissera pas dissuader de cibler une organisation uniquement parce que le niveau de sécurité de celle-ci est plus élevé que celui d entreprises similaires. Une menace persistante avancée peut se dérouler de manière délibérée et très mesurée, ce qui lui permet d échapper aux pare-feu et aux systèmes de détection des intrusions les mieux configurés. 05
La défense en profondeur est le seul moyen de stopper les menaces persistantes avancées Les mesures de sécurité du périmètre et de l infrastructure doivent être complétées par une solution de protection efficace contre les menaces persistantes avancées afin que l organisation puisse : La solution? Une défense en profondeur, c est-à-dire une stratégie qui complète les solutions de sécurité traditionnelles et intègre des fonctionnalités de gestion de l accès et des identités telles que : Gestion des comptes partagés Sécurité de la virtualisation Accès aux privilèges minimaux Gestion et gouvernance des identités Enregistrement des sessions Authentification avancée D étecter une activité suspecte suffisamment tôt lors d une tentative d intrusion Renforcement des serveurs Contrôles des données C ollecter les informations dont les enquêteurs ont besoin pour déterminer l étendue des dégâts, et quand et par qui ils ont été causés Sécurité atypique et externalisée E ntraver l accès initial R éduire le risque d escalade des privilèges en cas de compte compromis L imiter les répercussions d un compte compromis 05 06
Une stratégie de défense en profondeur renforce les mesures standard de sécurité du périmètre et des systèmes au moyen d outils de gestion de l accès et des identités dans le but de fournir une protection contre les quatre phases d une menace persistante avancée. Pénétration initiale Reconnaissance Escalade des privilèges Exploitation continue Gestion des comptes partagés Sécurité du périmètre Accès aux privilèges minimaux Renforcement des serveurs Capture et examen des journaux d audit des périphériques et des serveurs Antivirus Enregistrement des sessions Protection contre l hameçonnage Sécurité atypique et externalisée Formation des employés Gestion et gouvernance des identités Sécurité de la virtualisation Authentification avancée Contrôles des données 07
Défense en profondeur : aperçu Gestion des comptes partagés Gestion des comptes partagés Accès aux privilèges minimaux L accès et l exploitation des comptes à forts privilèges est une tactique clé qui se retrouve dans toutes les attaques du type menaces persistantes avancées. C est pourquoi la gestion des comptes partagés doit garantir les fonctions suivantes : Enregistrement des sessions Gérer la complexité des mots de passe et les changements automatiques selon les règles Renforcement des serveurs Sécurité atypique et externalisée Sécurité de la virtualisation Gestion et gouvernance des identités Stocker de façon sécurisée les mots de passe chiffrés Limiter l accès aux comptes administratifs Empêcher le partage des mots passe au moyen de fonctionnalités de connexion automatique Limiter le nombre d utilisateurs ayant accès aux comptes à forts privilèges en fournissant un accès d urgence aux comptes Éliminer l utilisation des mots de passe codés en dur dans les scripts Accès aux privilèges minimaux L accès ne doit pas être traité selon une approche «tout ou rien». En effet, les utilisateurs doivent pouvoir accéder aux données dont ils ont besoin pour effectuer leur travail. Par exemple : Les administrateurs système doivent être autorisés à mettre à jour les logiciels de serveur, à modifier les paramètres de configuration et à installer de nouveaux logiciels, mais pas à modifier les paramètres de sécurité ni à consulter les journaux. Authentification avancée Les administrateurs de sécurité doivent être en mesure d actualiser et de modifier le paramétrage et les configurations et de consulter les fichiers journaux, mais ne doivent pas être autorisés à installer des logiciels ni à accéder aux informations confidentielles. Contrôles des données Les auditeurs doivent pouvoir vérifier les paramètres de sécurité et consulter les fichiers journaux, mais ne doivent pas être autorisés à modifier un système de quelque manière que ce soit. 08
Défense en profondeur : aperçu suite Gestion des comptes partagés Enregistrement des sessions Accès aux privilèges minimaux Le suivi des actions réalisées par les comptes à forts privilèges est une étape essentielle de la détection des menaces persistantes avancées. À cette fin, l enregistrement des sessions doit : Enregistrement des sessions Renforcement des serveurs Sécurité atypique et externalisée Sécurité de la virtualisation Représenter visuellement «qui a fait quoi» Fournir des outils analytiques qui permettent d accélérer les enquêtes sur les violations en éliminant la nécessité de consulter les fichiers journaux et de passer en revue des gigaoctets de texte difficile à lire Indiquer l heure, la date, l IP source et l ID utilisateur de toutes les connexions Consigner toutes les commandes entrées par les utilisateurs Associer tout comportement anormal à l utilisateur qui en est l auteur Renforcement des serveurs Tous les serveurs sur lesquels sont hébergées des informations confidentielles doivent être configurés dans une perspective de protection contre les menaces persistantes avancées. Il faut donc notamment : Utiliser un pare-feu pour contrôler les communications, limiter les paquets et bloquer les protocoles non sécurisés Gestion et gouvernance des identités Avoir recours aux listes blanches d applications afin de n autoriser que les exécutions et installations spécifiées explicitement Authentification avancée Interdire toute modification des fichiers journaux Contrôles des données Contrôler l accès aux fichiers répertoires Définir un ensemble spécifique d actions pour les applications à haut risque Contrôler l intégrité des fichiers clés 09
Défense en profondeur : aperçu suite Gestion des comptes partagés Sécurité atypique et externalisée Accès aux privilèges minimaux Les personnes à l origine des menaces persistantes avancées utilisent souvent des commandes de systèmes d exploitation, des fonctions et des utilitaires courants à leur avantage. Ces techniques peuvent en fait directement contribuer à la défense contre ces menaces en : Enregistrement des sessions Utilisant des outils externes pour contrôler et protéger les fichiers afin qu ils apparaissent comme étant non sécurisés, alors qu en réalité, ils aident les administrateurs à détecter les tentatives d attaque visant à compromettre le réseau Renforcement des serveurs Modifiant le nom des commandes système courantes afin que l utilisation du nom original déclenche une alerte Sécurité atypique et externalisée Sécurité de la virtualisation Gestion et gouvernance des identités Authentification avancée Contrôles des données Sécurité de la virtualisation Le nombre de systèmes virtualisés a littéralement explosé, faisant de ces environnements, et en particulier de l hyperviseur, les cibles privilégiées des menaces persistantes avancées. Pour protéger les infrastructures virtuelles, les organisations doivent : Appliquer le principe du privilège minimal aux comptes hyperviseur Contrôler et consigner toutes les actions effectuées au niveau de la couche hyperviseur Sécuriser les machines virtuelles en exploitant les fonctionnalités d automatisation tenant compte de la virtualisation Gestion et gouvernance des identités La protection adéquate des identités des utilisateurs est une étape essentielle de la réduction de l efficacité des menaces persistantes avancées. À cet effet, la fonctionnalité de gouvernance et de gestion des identités permet de : Déprovisionner les identités et supprimer les autorisations dont elles bénéficient aussitôt qu une personne quitte l entreprise Trouver et supprimer les identités orphelines ou non utilisées 10
Défense en profondeur : aperçu suite Gestion des comptes partagés Accès aux privilèges minimaux Enregistrement des sessions Renforcement des serveurs Authentification avancée L authentification à deux facteurs et les évaluations basées sur les risques contribuent à la protection contre l accès initial d une menace persistante avancée en refusant ou détectant les tentatives d accès inapproprié. Pour être aussi efficaces que possible, les fonctionnalités d authentification avancée doivent intégrer : Des informations d identification logicielles à deux facteurs spécifiques à chaque périphérique Des méthodes d authentification polyvalentes qu il est possible de faire correspondre à un scénario spécifique Des règles modifiables en fonction de la protection requise face aux différentes tactiques de menace persistante avancée Sécurité atypique et externalisée L identification des périphériques, la géolocalisation, les listes noires d adresses IP et la gestion des cas pour les activités suspectes Sécurité de la virtualisation Contrôles des données La possibilité de renforcer l authentification lorsqu une assurance plus forte des identités est requise Gestion et gouvernance des identités Étant donné que le but ultime de toute menace persistante avancée est le vol d informations confidentielles, la mise en place de contrôles stricts pour ces données est un élément essentiel du succès de toute défense. La préservation de ces actifs passe avant tout par : Authentification avancée La classification des données selon leur niveau de confidentialité et leur type, pour l accès, l utilisation, le transfert, le stockage, etc. Contrôles des données Le contrôle des données lors de leur transfert entre sources, notamment entre la messagerie électronique et les disques physiques 11
Réduction des risques de sécurité grâce à une approche holistique Le concept de défense en profondeur est un élément essentiel de toute stratégie de protection proactive et holistique contre les menaces persistantes avancées. Les techniques qui sous-tendent cette approche fonctionnent de concert pour vous permettre de développer et d appliquer un modèle de sécurité basé sur l autorisation ou le refus des actions selon les règles métier, le niveau de confidentialité des données et les types particuliers de comportement. Parce qu il peut être appliqué uniformément sur l ensemble des plates-formes et isolé du système d exploitation, ce modèle fournit un moyen efficace de prévenir et de détecter les menaces persistantes avancées. Ainsi, la défense en profondeur aide votre organisation à conserver une longueur d avance sur les menaces persistantes avancées et à réduire les effets que les attaques de ce type peuvent avoir sur l activité, les employés, les clients et les partenaires. 12
À propos des solutions de CA Technologies Les solutions de sécurité de CA Technologies intègrent une suite complète de fonctionnalités permettant de simplifier les opérations et de réduire le coût total de la gestion dans les environnements Cloud, sur site, virtuels, physiques, distribués et mainframe, et vous aident ainsi à considérablement améliorer l agilité métier. Contrairement aux solutions traditionnelles, la suite CA Technologies contrôle non seulement les identités des utilisateurs et la disponibilité des ressources informatiques critiques, mais aussi l accès aux données à caractère confidentiel. Ainsi, elle fournit des couches de sécurité supplémentaires par rapport aux solutions conventionnelles et permet de diminuer le risque de violations, de réduire au minimum la perte de données et de simplifier les audits de conformité. Ces offres sont complétées par une gamme de services Cloud d identités qui vous donnent la possibilité de déployer des services de sécurité comme et quand vous le souhaitez, et ainsi d adopter des modèles Cloud ou hybrides adaptés à vos besoins. La suite CA Identity and Access Management couvre les domaines suivants : Gestion et gouvernance des identités Gestion des identités à forts privilèges et sécurité de la virtualisation Authentification avancée Protection des données Sécurité du Cloud Authentification unique sécurisée et gestion de l accès 13
CA Technologies (NASDAQ : CA) est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d information, dont l expertise couvre tous les environnements informatiques, du mainframe au Cloud Computing et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements informatiques et permet à ses clients de fournir des services informatiques plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l agilité métier. La majorité des sociétés du classement «Fortune 500» s appuient sur CA Technologies pour gérer leurs écosystèmes IT en constante évolution. Pour plus d informations, suivez l actualité de CA Technologies sur ca.com. Copyright 2013 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Ce document est uniquement fourni à titre d information. CA décline toute responsabilité quant à l exactitude ou l exhaustivité des informations qu il contient. Dans les limites permises par la loi applicable, CA fournit le présent document «tel quel», sans garantie d aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l adéquation à un besoin particulier ou l absence de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l utilisation de ce document, notamment la perte de profits, l interruption de l activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages.